経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

こんにちは、丸山満彦です。

経済産業省のサイバーセキュリティ経営ガイドラインVer 3.0が公表されましたね。。。

---

経済産業省では、サイバー攻撃の多様化・巧妙化に伴い、サイバーセキュリティ対策における企業等の経営者のさらなるリーダーシップの発揮などが求められていること等を踏まえ、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項等をまとめた「サイバーセキュリティ経営ガイドライン」を改訂しました。

1．背景・趣旨

経済産業省では、独立行政法人情報処理推進機構（IPA）とともに、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項及び経営者が情報セキュリティ対策を実施する上での責任者となるCISO（Chief Information Security Officer：最高情報セキュリティ責任者）等に指示すべき事項をまとめたサイバーセキュリティ経営ガイドラインを策定し、その普及を行ってまいりました。

昨今、サイバー攻撃は多様化・巧妙化しており、また、サプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の推進の必要性が高まっているなど、各企業等においては、組織幹部が自らの果たすべき役割を認識した上で、リーダーシップを発揮し、更なる対策の強化や適切に対応することなどが求められております。

こうした現状等を踏まえ、有識者や関係者を交えた研究会を開催し、そこでの検討を踏まえ、サイバーセキュリティ経営ガイドラインの改訂を行いました。

2．改訂のポイント

有識者からの御意見やパブリックコメントにおける御意見等を踏まえ、主に以下の内容について改訂を行っています。

• 経営者が認識すべき3原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性等の追加・修正を行いました。
• 指示5について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点などについて、追記・修正を行いました。
• 指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施等について追記・修正を行いました。
• 指示9について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについて追記・修正を行いました。
• 指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることや ステークホルダーへの情報開示について追記・修正を行いました。
• その他、全体的な見直しを行いました。

また、本改訂に合わせて、独立行政法人情報処理推進機構（IPA）において、サイバーセキュリティの実践状況をセルフチェックで可視化いただける「サイバーセキュリティ経営可視化ツール」（Excel版、Ver2.0）への改訂を行っております。

---

委員になっているので、個人的な見解ですが、すこしコメントをつけたいと思います。。。

まずは、この経営ガイドラインが上場企業はじめ多くの企業が参照するガイドとなっていることを踏まえ、委員は真剣な議論をしたし、事務局、経済産業省等は、経営者や投資家、海外政府機関への非公式のヒアリング等も実施して意見を聞いて、より良いものになろうと努力しました。。。

もちろん、参考の状況を踏まえて安全保障的な観点も視野にいれていますが、全ての企業が等しく安全保障上の観点を考慮するという話でもないため、例えば、サプライチェーンマネジメントに関するリスクマネジメントや、コンプライアンス上の一環として、安全保障上の観点を重視しなければならない企業はそうするという構造になっています。

共助の考え方としてのインシデント情報の共有についても、ガイドが公表されていますので、それを踏まえた記述をしています。

あと、多くのポイントでステークホルダーとのコミュニケーションが強調されています（有事も平時も）。平時のコミュニケーションについては投資家に対するリスク開示の重要性の強調も含まれます。多くの投資家、経営者がサイバーリスクが企業経営上の重要なリスクと認識している昨今、サイバーリスクについても適切な開示が有価証券報告書、ESG報告書等において必要だろうという話です。

私はバブル末期に社会人になり、社会人になってから日本の社会というのはほぼ成長できていない、失われた30年の中で仕事をしてきています。いわば、失われた30年に責任を負う一人でもあると思っています。では、なぜこの30年、日本は成長できなかったか... すでにいろいろな識者が述べていますし、唯一の理由があるわけでもないでしょう。ただ、新たな産業を興せなかったという点を見てみると、チャレンジができていないというおとがあるのだろうと思います。で、なぜチャレンジができないか？その一つの理由として、リスクに向き合わなかったからではないかと思っています。

日本でも新たなことにチャレンジをしようという話はあります。ただ、多くの場合それは失敗し、叩かれ、萎縮効果となり、新たなチャレンジをしようという意欲が失われていったのかもしれません。新たなことに対しては失敗はつきものなのですが、失敗しないように、失敗しても説明がつき、次に繋げられるようにするという意味での、リスクマネジメントが十分にできていなかったのではないかと思うんですよね。。。リスクの話をすると、ネガティブととられたりして、みんなリスクについて見て見ぬふりをしていたのではないか？と思うんですよね。。。

リスクに向き合うというのが重要なのだろうと思います。

そういうこともあり、サイバーについても経営者はリスクと向き合い、ステークホルダーにリスクを説明していく、というのは重要なことだろうと思っています。

 

ということで。。。

 

● 経済産業省

・2023.03.24 「サイバーセキュリティ経営ガイドライン」を改訂しました

・[PDF] サイバーセキュリティ経営ガイドライン Ver 3.0

 

経済産業省のサイバーセキュリティ政策全般については、こちら...

・サイバーセキュリティ政策

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

・2022.06.16 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）

・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版（V1.0版）

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版